重点提炼《战略》第七章风险管理的流程体系与方法

本章是对风险及风险管理进行的全面介绍。在往年的考试中，拥有较为重要的考点。

本章比较大的考点为企业面对的风险管理流程、风险管理组织体系与方法、风险管理的技术与方法。题型会以客观题与主观题为主，风险管理技术与方法是难点，但涉及考试的概率和题量相对较低，选择题为主。建议以教材原文熟悉为主。估计本章2024年分值在12分左右。

主要考点（难点或重点）

风险管理流程

风险管理组织体系

风险管理技术与方法

第二节风险管理体系

本节主要知识点：

风险管理策略★

风险管理组织职能体系★

内部控制系统★

风险理财措施★

风险管理信息系统（略）

企业风险管理体系包括五大体系：

（1）风险管理策略；

（2）风险理财措施；

（3）风险管理的组织职能体系；

（4）风险管理信息系统；

（5）内部控制系统。

一、风险管理组织职能体系（★★，掌握，客观题和主观题）

风险管理组织体系包括六大体系。

企业风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。

（以下内容重点掌握前三个：董事会、风险管理委员会、风险管理职能部门的职责）

（一）规范的公司法人治理结构——董事会

应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面做出独立于经理层的判断和选择。

董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面主要履行以下10个职责：

（1）审议并向股东（大）会提交企业全面风险管理年度工作报告；

（2）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；

（3）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

（4）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（5）批准重大决策的风险评估报告；

（6）批准内部审计部门提交的风险管理监督评价审计报告；

（7）批准风险管理组织机构设置及其职责方案；

（8）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；

（9）督导企业风险管理文化的培育；

（10）批准或决定全面风险管理的其他重大事项。

对于国有企业，其重大经营管理事项必须经党委（党组）研究讨论后，再由董事会或者经理层作出决策，防范国有企业重大风险。

（二）风险管理委员会

具备条件的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。

风险管理委员会对董事会负责，主要履行以下6项职责：

（1）提交全面风险管理年度报告；

（2）审议风险管理策略和重大风险管理解决方案；

（3）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；

（4）审议内部审计部门提交的风险管理监督评价审计综合报告；

（5）审议风险管理组织机构设置及其职责方案；

【企业管理层】企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。

（三）风险管理职能部门

（1）研究提出全面风险管理工作报告；

（2）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（3）研究提出跨职能部门的重大决策风险评估报告；

（4）研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；

（5）负责对全面风险管理有效性的评估，研究提出全面风险管理的改进方案；

（6）负责组织建立风险管理信息系统；

（7）负责组织协调全面风险管理日常工作；

（8）负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；

（9）办理风险管理的其他有关工作。

（四）审计委员会

1.审计委员会履行职责的方式。

董事会应决定委派给审计委员会的责任，审计委员会的任务会因企业的规模大小、复杂性及风险状况而有所不同。

此外，审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。为了很好地完成这项工作，行政管理层必须向审计委员会提供恰当的信息。管理层对审计委员会有告知义务，并应主动提供信息，而不应等待审计委员会索要。

2.审计委员会与合规。

审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表，审计师的责任是编制审计计划和执行审计。

审计委员会应倾听审计师对于这些问题的看法。如果对拟采用的财务报告的任何方面不满意，审计委员会应告知董事会。审计委员会还应对财务报表后所附的与财务有关的信息（如运营和财务复核信息及公司治理部分关于审计和风险管理的陈述）进行复核。

3.审计委员会与内部审计。

确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中充当的角色和发挥的作用。它应该核查内部审计的有效性，并决定对内部审计主管的任命和解聘，还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。

审计委员会复核及评估年度内部审计工作计划。审计委员会收到关于内部审计部门工作的定期报告，复核和监察管理层对内部审计的调查结果的反应。审计委员会还应确保内部审计部门提出的建议已执行。审计委员会有助于保持内部审计部门的独立性。审计委员会及内部审计师需要确保内部审计部门正在有效运作，它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

（五）企业其他职能部门及各业务单位

企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履行以下7项职责：

（1）执行风险管理基本流程；

（2）研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（3）研究提出本职能部门或业务单位的重大决策风险评估报告；

（4）做好本职能部门或业务单位建立风险管理信息系统的工作；

（5）做好培育风险管理文化的有关工作；

（6）建立健全本职能部门或业务单位的风险管理内部控制子系统；

（7）办理风险管理其他有关工作。

（六）下属公司

企业应通过法定程序，指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。

董事会、风险管理委员会、风险管理职能部门的职责对比

二、风险管理策略

【知识点】风险管理策略

（一）风险管理策略总体定位与作用

（二）风险管理策略的组成部分

（1）风险偏好和风险承受度

（2）全面风险管理的有效性标准

（3）风险管理的工具选择

（4）全面风险管理的资源配置

（三）风险管理工具

（四）确定风险偏好和风险承受度

（五）风险度量

（六）风险管理的有效性标准

（七）风险管理的资源配置

（八）确定风险管理的优先顺序

（九）风险管理策略检查

（一）风险管理策略总体定位与作用（★，掌握，主观题）

风险管理策略，是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

（1）总体定位

1）风险管理策略是根据企业经营战略制定的全面风险管理的总体策略；

2）风险管理策略在整个风险管理体系中起着统领全局的作用；

3）风险管理策略在企业战略管理的过程中起着承上启下的作用，制定与企业战略保持一致的风险，管理策略减少了企业战略错误的可能性。

（2）作用

1）为企业的总体战略服务，保证企业经营目标的实现；

2）连接企业的整体经营战略和运营活动；

3）指导企业的一切风险管理活动；

（二）风险管理策略的组成部分（★，掌握，客观题和主观题）

（1）风险偏好和风险承受度。明确公司要承担什么风险，承担多少。

（2）全面风险管理的有效性标准。明确怎样衡量我们的风险管理工作成效。

（3）风险管理的工具选择。明确怎样管理重大风险。

（4）全面风险管理的资源配置。明确如何安排人力、财力、物资、外部资源等风险管理资源。

（三）确定风险偏好和风险承受度（★，掌握，客观题）

确定企业整体风险偏好要考虑以下因素：

—般来讲，风险偏好和风险承受度是针对公司的重大风险制定的，对企业的非重大风险的风险偏好和风险承受度不一定要十分明确，甚至可以先不提出。

重大风险的风险偏好是企业的重大决策，应由董事会决定。

（四）风险度量（★，掌握，客观题）

（1）关键在于量化

（2）风险度量方法

选择合适的风险度量方法是确定风险管理策略的需要。企业应对不同的风险采取不同的度量方法。

常用的风险度量包括：最大可能损失；概率值（损失发生的概率或可能性）；期望值（统计期望值，效用期望值）；波动性（方差或均方差）；在险值（又称VaR）、直观方法以及其他类似的度量方法。

1）最大可能损失

指风险事件发生后可能造成的最大损失。企业一般在无法判断发生概率或无须判断概率时，使用最大可能损失作为风险的衡量。

2）概率值

是指风险事件发生的概率或造成损失的概率。在可能的结果只有好坏、对错、是否、输贏、生死等简单情况下，常常使用概率值。

3）期望值

指的是数学期望，即概率加权平均值。常用的期望值有统计期望值和效用望值，期望值的办法综合了概率和最大损失两种方法。

4）波动性。波动性反映的是离散程度。也就是该变量离其期望值的距离。一般用方差或均方差（标准差）来描述波动性。

5）在险值

6）直观方法。直观方法指不依赖于概率统计结果的度量方法，即人们直观判断的方法，如专家意见法、层次分析法等。

（3）选择适当的风险度量模型。

对不同种类的风险要使用不同的度量模型。对外部风险的度量包括市场指标、景气指数等。对内部运营风险的度量相对来讲比较容易，如各种质量指标、执行效果、安全指数等。对战略风险度量比较困难的，也没有必要。因为人们有不同的目的和偏好。

（4）风险量化的困难

1）方法误差：企业情况很复杂，致使建立的风险度量不能够准确反映企业的实际情况；

2）数据：很多情况下，企业的有关风险数据不足，质量不好；

3）信息系统：企业的信息传递不够理想，导致需要的信息未能及时到达；

4）整合管理：在数据和管理水平的现实条件下，不能与现存的管理连接，有效应用结果。

（五）风险管理的有效性标准（★，了解，主观题）风险管理的有效性标准是指企业衡量企业风险管理是否有效的标准。

（1）风险管理有效性标准的作用是帮助企业了解：

①企业现在的风险是否在风险承受度范围之内，即风险是否优化；

②企业风险状况的变化是否是所要求的，即风险的变化是否优化。

量化的企业风险管理的有效性标准与企业风险承受度有相同的度量基础。

（2）风险管理有效性标准的原则如下：

①风险管理的有效性标准要针对企业的重大风险，能够反映企业重大风险管理的现状；

②风险管理有效性标准应当对照全面风险管理的总体目标，在所有五个方面保证企业的运营效果；

③风险管理有效性标准应当在企业的风险评估中应用，并根据风险的变化随时调整；

④风险管理有效性标准应当用于衡量全面风险管理体系的运行效果。

（六）选择风险管理工具（★★★重点掌握）

风险管理工具共有七种：风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制。

（1）风险承担

风险承担亦称风险保留、风险自留。是指企业对所面临的风险采取接受的态度，从而承担风险带来的后果。

对于企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担。

【注意】

a.对未能辨识出的风险，企业只能采取风险承担。

b.对于辨识出的风险，企业也可能由于以下几种原因釆用风险承担：

①缺乏能力进行主动管理，对这部分风险只能承担；

②没有其他备选方案；

③从成本效益考虑，这一方案是最适宜的方案。

（2）风险规避

风险规避是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人。例如：

1）退出某一市场以避免激烈竞争；

2）拒绝与信用不好的交易对手进行交易；

3）外包某项对工人健康安全风险较高的工作；

4）停止生产可能有潜在客户安全隐患的产品；

5）禁止各业务单位在金融市场进行投机；

6）不准员工访问某些网站或下载某些内容。

（3）风险转移

风险转移是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方移除后转移到另一方。例如：

1）保险：保险合同规定保险公司为预定的损失支付补偿，作为交换，在合同开始时，投保人要向保险公司支付保险费。

2）非保险型的风险转移：将风险可能导致的财务风险损失负担转移给非保险机构。例如，服务保证书等。

3）风险证券化：通过证券化保险风险构造的保险连接型证券（ILS）。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度。

（4）风险转换

风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等。风险转换可以在低成本或者无成本的情况下达到目的。

【注意】风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款，但扩大了销售。

（5）风险对冲

风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是，使这些风险的影响互相抵销。比如，资产组合使用、多种外币结算的使用和战略上的多种经营等。在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值。

1）在企业的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲。

2）风险对冲必须涉及风险组合，而不是对单一风险；对于单一风险，只能进行风险规避、风险控制。

（6）风险补偿

风险补偿是指企业对风险可能造成的损失采取适当的措施进行知偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。

风险补偿的形式有财务补偿、人力补偿、物资补偿等。

（7）风险控制

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。

风险控制对象一般是可控风险。包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险。

【注意】《中央企业全面风险管理指引》指出，一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

（七）风险管理的资源配置（★，了解）

风险管理的资源包括人才、组织设置、政策、设备、物资、信息、经验、知识、技术、信息系统、资金等。

企业可以使用内部和外部的资源，许多资源可以从外部获得，如信息、知识、技术等；但要注意，有些资源是不能够从外部得到的，如经验，只能靠内部积累。

（八）确定风险管理的优先顺序（★，了解）

（1）风险管理的优先顺序。

风险管理的优先顺序决定企业优先管理哪些风险，决定企业各方面资源优先配置。

风险管理的优先顺序体现了企业的风险偏好。因此，要找到一种普适性的方法来确定风险管理的优先顺序是很困难的。

—个很重要的原则是，风险与收益相平衡的原则，在风险评估结果的基础上，全面考虑风险与收益。要特别重视对企业有影响的重大风险，要首先解决“颠覆性”风险问题，保证企业持续发展。

（2）确定风险管理的优先顺序考虑的因素。

根据风险与收益平衡原则，确定风险管理的优先顺序可以考虑以下几个因素：

①风险事件发生的可能性和影响；

②风险管理的难度；

③风险的价值或管理可能带来的收益；

④合规的需要；

⑤对企业技术准备、人力、资金的需求；

企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。

其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

风险管理策略要随着企业经营状况的变化、经营战略的变化，外部环境风险的变化而调整。

风险管理策略定期检查的频率依赖于企业面临的风险。

企业经营战略回顾时应该同时总结和分析风险管理策略。

要重新评估风险以便确认风险管理策略的有效性。

必要时，调整有效性标准。

制定风险管理策略要注意整个全面风险管理体系的配合，如是否有强有力的组织职能支撑，经济上是否划算，技术上能否掌握，等等。因此，一个好的风险管理策略往往要到解决方案完善后才能完成。

三、运用金融工具实施风险管理策略

（一）运用金融工具实施风险管理策略的必要性（p396）

（二）运用金融工具实施风险管理策略的特点

（1）需要判断风险的定价

（2）运用范围一般不包括声誉等难以衡量价值的风险，也难以消除战略失误造成的损失。

（3）技术性强

（4）创造价值

（三）运用金融工具实施风险管理策略的原则和要求（★，了解，客观题）

选择风险策略要考虑以下几点：

①与整体风险管理策略一致，通盘考虑。选择风险理财的策略，应根据公司风险管理整体策略确定的风险偏好和承受度确定风险理财的目标，并量化风险的特性及其价值。要考虑到诸如对公司的资产负债率等方面的影响，以及对诸如“零容忍度”的具体安排等问题。

②要根据所面对的风险的性质，采用与之相匹配的风险理财手段。

③风险理财工具有多种，如准备金、保险、应急资本、期货、期权、其他衍生产品等，企业在选择这些风险理财工具时，要考虑如下几点：合规的要求；可操作性；法律法规环境；企业的熟悉程度；风险理财工具的风险特征；不同的风险理财手段可能适用同一风险。

④考虑成本与收益的平衡。

（四）运用金融工具实施风险管理策略的主要措施

以上阐述了风险理财的基本概念，下面介绍两类主要的措施：损失事件管理与套期保值。

损失事件管理。损失事件管理是指对可能给企业造成重大损失的风险事件进行事前、事后管理的方法。损失的内容包括企业的资金、声誉、技术、品牌、人才等。

1.损失融资。

损失融资是为风险事件造成的财物损失融资，是从风险理财的角度进行损失事件的事后管理，是损失事件管理中最具共性也最重要的部分。企业损失分为预期损失和非预期损失，因此损失事件融资也相应分为预期损失融资和非预期损失融资。预期损失融资一般作为运营资本的一部分，而非预期损失融资则属于风险资本范畴。

2.风险资本

风险资本即除经营所需的资本之外，公司还需要额外的资本用于补偿风险造成的财务损失。

传统的风险资本表现形式是风险准备金。风险资本是使一家公司破产的概率低于某一给定水平所需的资金，因此取决于公司的风险偏好。

3.应急资本

应急资本是风险资本的表现形式之一。

应急资本费用、利息和额度在合同签订时约定。

应急资本最简单的形式是公司为满足特定条件下的经营需要而从银行获得的信贷额度，一般通过与银行签订协议加以明确，比如信用证、循环信用工具等。

【应急资本具有如下特点】

1）应急资本的提供方并不承担特定事件发生的风险，而只是在事件发生并造成损失后提供用于弥补损失、持续经营的资金。事后公司要向资本提供者归还这部分资金，并支付相应的利息。

2）应急资本是一个综合运用保险和资本市场技术设计和定价的产品。与保险不同，应急资本不涉及风险的转移，是企业风险补偿策略的一种方式。

3）应急资本是一个在一定条件下的融资选择权，公司可以不使用这个权利。

4）应急资本可以提供经营持续性的保证。

4.保险

保险是风险转移的传统手段，即投保人通过保险把风险可能导致的财务损失负担转移给保险公司。可保风险是纯粹风险：机会风险不可保。

5.专业自保

专业自保公司又称专属保险公司，是非保险公司的附属机构，为母公司提供保险，并由其母公司筹集保险费，建立损失储备金。

专业自保公司的优点包括：降低运营成本；改善公司现金流；保障项日更多；公平的费率等级；保障的稳定性；直接进行再保险；提高服务水平；减少规章的限制；国外课税扣除和流通转移。

专业自保公司的缺点包括：提高内部管理成本；增加资本投入；损失储备金不足；减少其他保险的可得性。

四、内部控制系统（★★★，掌握，客观题和主观题）

内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

（一）COSO委员会关于内部控制的定义与框架（了解）

COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”

COSO委员会的上述定义对内部控制的基本概念提供了一些深入的见解，并特别指出：

（1）内部控制是一个实现目标的程序及方法，而其本身并非目标；

（2）内部控制只提供合理保证，而非绝对保证；

（3）内部控制要由企业中各级人员实施与配合。

《内部控制——整合框架》提出了内部控制的三项目标和五大要素。

内部控制的三项目标包括：取得经营的效率和有效性；确保财务报告的可靠性；遵循适用的法律法规。

总结一下，内控的五要素

COSO委员会提出的《内部控制——整合框架》被称为最广泛认可的关于内部控制整体框架的国际标准。2013年5月，COSO委员会发布其最新的内部控制框架，其中一个重大变化是基于原有的COSO五要素提出了17条核心内控原则，从而大幅度增强了五要素的可操作性。

（二）我国内部控制规范体系

我国内部控制规范体系包括基本规范、应用指引、评价和审计指引三个类别。

（1）《企业内部控制基本规范》规定内部控制的目标、要素、原则和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用。

《基本规范》借鉴了COSO委员会内部控制整合报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列5个要素：

1）内部环境；2）风险评估；

3）控制活动；4）信息与沟通；

5）内部监督。

（2）《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位。

（3）《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻《基本规范》和《应用指引》效果的评价与检验。

（三）内部控制要素

1、控制环境

（1）COSO《内部控制框架》关于控制环境要素的要求与原则

要求：

控制环境决定了企业的基调，直接影响企业员工的控制意识；

控制环境提供了内部控制的基本规则框架，是其他四个要素的基础。

控制环境包括员工的诚信度、职业道德、才能、管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

原则：

1）企业对诚信和价值观做成承诺；

2）董事会独立于管理层，对内部控制的制定及其绩效施以监控；

3）管理层在董事会的监控下，建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任；

4）企业致力于吸引、发展和留住优秀人才，以配合企业目标达成；

（2）我国《企业内部控制基本规范》关于内部环境要素的要求

1）企业应当建立规范的公司治理结构和议事规则；

2）董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行；

3）企业应当在董事会下设审计委员会；

4）企业应当结合自己业务特点和内部控制要求设置内部机构，明确职责权限，将职责与权限落实到各责任单位；

5）企业应当加强内部审计工作，保证内部审计机构设置、人员配置和工作的独立性；

6）企业应当制定和实施有利于企业可持续发展的人力资源政策；

7）企业应当将职业道德秀养和专业胜任能力作为选拔和聘用员工的重要标准，确实加强员工的培训与继续教育工作，不断提升员工的素质；

8）企业应当加强文化建设，企业员工应当遵守员工行为准则，认真履行岗位责任；

9）企业应当加强法制教育。

【注意】人力资源政策应当包括

（1）员工的聘用、培训、辞退与辞职

（2）员工的薪酬、考核、晋升与奖惩

（3）关键岗位员工的强制休假制度和定期岗位轮换制度

（4）掌握国家秘密和重要商业秘密的员工离岗限制规定

（5）有关人力资源管理的其他政策

2、风险评估

（1）COSO《内部控制框架》关于风险评估要素的要求与原则

1）风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。

3）由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。

1）企业制定足够清晰的目标，以便识别和评估有关目标所涉及的风险。

2）企业从整个企业角度来识别实现目标所涉及的风险，分析风险，并据此决定应如何管理这些风险。

3）企业在评估影响目标实现的风险时，考虑潜在的舞弊行为。

4）企业识别并评估可能会对内部控制系统产生的重大影响的变更。

（2）我国《企业内部控制基本规范》关于风险评估要素的要求

A.董事、监事、经理及其他高管人员的职业操守、员工专业胜任能力等人力资源因素。

B.组织机构、经营方式、资产管理、业务流程等管理因素。

C.研究开发、技术投入、信息技术运用等自主创新因素。

D.财务状况、经营成果、现金流量等财务因素。

E.运营安全、员工健康、环境保护等安全因素。

F.其他有关内部风险的因素。

A.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

B.法律法规、监管要求、等法律因素。

C.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

D.技术进步、工艺改进等技术因素。

E.自然灾害、环境状况等自然因素。

F.其他的有关外部风险因素。

6）企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应当策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

7）企业应当综合运用风险规避、风险降低、风险分担、风险承受等风险应对策略，实现对风险的有效控制。

3、控制活动

（1）COSO《内部控制框架》关于控制活动要素的要求与原则

1）控制活动指那些有助于管理层决策顺利实施的政策和程序。

2）控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。

1）企业选择并制定有助于将目标实现风险降低至可接受水平的控制活动。

2）企业为用以支持目标实现技术选择并制定一般控制政策。

3）企业通过政策和程序来部署控制活动；政策用来确定所期望的目标；程序则将政策付诸于行动。

（2）我国《企业内部控制基本规范》关于控制活动要素的要求

2）不相容职务分离控制要求企业全面系统的分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、相互制约的工作机制。

4）会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务报告的处理程序，保证会计资料真实完整。

6）预算控制要求企业实施全面的预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

7）运营分析控制要求企业建立运营情况分析制度，经理层应该综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

8）绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系。

9）企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

10）企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处理程序、确保突发事件得到及时妥善的处理。

4、信息与沟通

（1）COSO《内部控制框架》关于信息与沟通要素的要求与原则

1）公认的信息必须确认，捕获并以一定形式及时传递，以便员工履行职责。

2）企业于内部沟通的内部控制信息，包括内部控制目标和职责范围，必须能够支持内部控制的其他要素发挥效用。

3）企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通。

（2）我国《企业内部控制基本规范》关于信息沟通的要素的要求

2）企业应当收集各种内部信息和外部信息进行合理的筛选、核对、整合，提高信息的可用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息，企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

4）企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

5）企业应当建立反舞弊机制，明确反舞弊机制工作的重点领域、关键环节和有关机构在反舞弊工作中在职责权限，规范舞弊案件的举报、调查、处理报告和补救程序。

6）企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

【注意】企业至少应当把下列行为作为反舞弊工作的重点

（2）在财务会计报告和信息披露等方面存在虚假记载、误导性陈述、重大遗漏等。

（3）董事、监事、经理和其他高管滥用职权。

5、监控

（1）COSO《内部控制框架》关于监控要素的要求与原则

1）内部控制系统需要被监控，即对该系统有效的进行评估的全过程。可以通过持续性的监控行为，独立评估或二者的结合来实现对内部控制系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。

2）独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上的进行汇报，性质严重的应当上报最高管理层和董事会。

1）企业选择、制订并实行持续的或单独的评估，以判定内部控制各要素是否存在且发挥效用。

（2）我国《企业内部控制基本规范》关于内部监督要素的要求

2）企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应该分析缺陷的性质和产生的原因，提出整改方案，采用适当的形式向董事会、监事会和经理层报告。

3）企业应该结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

五、风险管理信息系统（了解）

【本节复习建议】本节内容考点较多，属于复习的重点内容，选择题和主观题均可能涉及。

风险管理策略：重点掌握七种风险管理工具。其余内容主要按照教材原文记忆。选择题、主观题。

风险管理组织体系：重点在于董事会、风险管理委员会和风险管理职能部门职责，逐条记忆，选择题、主观题。

内部控制系统：重点掌握内控的五大要素。选择题、主观题都有概率。

运用金融工具实施风险管理策略的措施：加强理解，选择题、主观题。